Buzz
Vào tháng 9, các thành viên của nhóm bảo mật Chrome của Google đưa ra một đề xuất mạnh mẽ: Loại bỏ hoàn toàn URL như chúng ta hiện biết. Các nhà nghiên cứu không thực sự đề xuất thay đổi cơ sở hạ tầng của web. Tuy nhiên, họ muốn tái cấu trúc cách trình bày thông tin về trang web bạn đang xem trên trình duyệt, để bạn không phải đối mặt với URL dài và khó hiểu ngày càng tăng lên—cũng như các trường hợp gian lận xảy ra xung quanh chúng. Trong một buổi nói chuyện tại hội nghị an ninh Bay Area Enigma vào thứ Ba, người đứng đầu bảo mật sử dụng Chrome, Emily Stark, đã tham gia vào cuộc tranh luận này và mô tả về các bước đầu tiên của Google hướng tới việc xác định danh tính trang web mạnh mẽ hơn.
Stark nhấn mạnh rằng Google không cố tình gây ra hỗn loạn bằng cách loại bỏ URL. Thay vào đó, họ muốn làm cho việc tấn công của hacker trở nên khó khăn hơn, dựa trên sự nhầm lẫn của người dùng về danh tính của một trang web. Hiện tại, sự mơ hồ vô tận của các URL phức tạp đưa ra cơ hội cho kẻ tấn công tiến hành lừa đảo hiệu quả. Họ có thể tạo một liên kết độc hại có vẻ như dẫn đến một trang web chính thống, nhưng thực tế tự động chuyển hướng nạn nhân đến một trang đánh cắp thông tin cá nhân. Hoặc họ có thể thiết kế các trang web độc hại với các URL giống với các trang thực sự, hy vọng nạn nhân không nhận ra họ đang ở trên G00gle thay vì Google. Với quá nhiều trò lừa đảo từ URL để chống lại, nhóm Chrome đã bắt đầu làm việc trên hai dự án nhằm mang lại sự rõ ràng cho người dùng.
"Chúng ta thực sự đang nói về việc thay đổi cách xác định danh tính trang web được trình bày," Stark nói với Mytour. "Mọi người nên dễ dàng nhận biết được trang web họ đang truy cập và họ không nên bị nhầm lẫn nghĩ họ đang ở trên một trang web khác. Việc này không nên đòi hỏi kiến thức chuyên sâu về cách hoạt động của internet để hiểu rõ."
Nhóm Chrome đã tập trung vào việc tìm cách phát hiện các URL có vẻ khác biệt so với thực tế. Cơ sở cho điều này là một công cụ mã nguồn mở gọi là TrickURI, ra mắt cùng với bài nói chuyện của Stark tại hội nghị, giúp các nhà phát triển kiểm tra xem phần mềm của họ có hiển thị URL đúng và nhất quán không. Mục tiêu là cung cấp cho các nhà phát triển một công cụ thử nghiệm để họ biết URL sẽ trông như thế nào với người dùng trong các tình huống khác nhau. Riêng biệt từ TrickURI, Stark và đồng nghiệp cũng đang làm việc để tạo ra cảnh báo cho người dùng Chrome khi một URL có vẻ đáng ngờ. Các cảnh báo vẫn đang được thử nghiệm nội bộ, vì phần phức tạp là phát triển thuật toán đúng để xác định trang web độc hại mà không nhầm lẫn với trang web hợp lệ.*
Đối với người dùng Google, đường phòng đầu tiên chống lại lừa đảo và các chiêu lừa trực tuyến khác vẫn là nền tảng Safe Browsing của công ty. Nhưng nhóm Chrome đang tìm hiểu các phương tiện bổ sung cho Safe Browsing nhằm chủ động đánh dấu các URL đáng ngờ.
"Thuật toán của chúng tôi để phát hiện các URL gây nhầm lẫn liên quan đến việc so sánh các ký tự giống nhau và các tên miền khác nhau chỉ bằng một số ký tự nhỏ," Stark nói. "Mục tiêu của chúng tôi là phát triển một bộ thuật toán để đẩy lùi kẻ tấn công khỏi các URL vô cùng gây nhầm lẫn, và một thách thức chính là tránh hiển thị các tên miền hợp lệ như là đáng ngờ. Đây là lý do vì sao chúng tôi đang triển khai cảnh báo này từ từ, như một cuộc thử nghiệm."
Google cho biết họ chưa bắt đầu triển khai cảnh báo đến người dùng chung trong khi nhóm Chrome điều chỉnh khả năng phát hiện. Và trong khi URL có thể không biến mất sớm, Stark nhấn mạnh rằng có nhiều điều đang được làm về cách đưa người dùng chú ý vào các phần quan trọng của URL và cải tiến cách Chrome trình bày chúng. Thách thức lớn là hiển thị cho người dùng các phần của URL liên quan đến bảo mật và quyết định trực tuyến của họ, trong khi lọc ra tất cả các thành phần phụ thêm làm cho URL khó đọc. Đôi khi trình duyệt cũng cần giúp người dùng với vấn đề ngược lại, bằng cách mở rộng hoặc giãn ngắn URL.
"Toàn bộ không gian này thực sự thách thức vì URL hoạt động rất tốt đối với một số người và trường hợp sử dụng hiện tại, và nhiều người rất thích chúng," Stark nói. "Chúng tôi háo hức về tiến triển mà chúng tôi đã đạt được với công cụ hiển thị URL mã nguồn mở TrickURI mới và cảnh báo thử nghiệm của chúng tôi về các URL có thể gây nhầm lẫn."
Nhóm bảo mật Chrome đã xử lý các vấn đề bảo mật trên internet trước đây, phát triển các sửa đổi cho chúng trong Chrome và sau đó áp đặt sức mạnh của Google để thúc đẩy mọi người thực hiện thực hành đó. Chiến lược này đã rất thành công trong vòng năm năm qua khi kích thích một phong trào hướng tới việc áp dụng toàn cầu mã hóa web HTTPS. Nhưng những người phê phán cách tiếp cận này lo ngại về các hạn chế của sức mạnh và sự phổ biến của Chrome. Sức ảnh hưởng giống nhau đã được sử dụng cho những thay đổi tích cực có thể bị sai lệch hoặc lạm dụng. Với điều gì đó quan trọng như URL, những người phê phán lo ngại rằng nhóm Chrome có thể chọn các chiến thuật hiển thị danh tính trang web chỉ tốt cho Chrome mà không thực sự có lợi cho toàn bộ web. Ngay cả những thay đổi nhỏ về quyền riêng tư và bảo mật của Chrome cũng có thể ảnh hưởng lớn đến cộng đồng web.
Ngoài ra, một phần của sự phổ biến đó là phải tuân theo các khách hàng doanh nghiệp tránh rủi ro. "URL như chúng hoạt động hiện tại thường không thể truyền đạt một mức độ rủi ro mà người dùng có thể nhanh chóng nhận biết," nói Katie Moussouris, người sáng lập công ty tiết lộ lỗ hổng trách nhiệm Luta Security. "Nhưng khi Chrome phát triển trong việc sử dụng doanh nghiệp hơn là người tiêu dùng, khả năng thay đổi giao diện và kiến trúc bảo mật hiển thị sẽ bị hạn chế bởi áp lực từ khách hàng. Sự phổ biến lớn không chỉ đi kèm với trách nhiệm lớn để đảm bảo an toàn mà còn là để giảm thiểu sự thay đổi trong các tính năng, tính khả dụng và khả năng tương thích ngược lại."
Nếu tất cả nghe có vẻ là một công việc rối rắm và frustrating, đó chính là điểm chính. Câu hỏi tiếp theo sẽ là cách những ý tưởng mới của nhóm Chrome thực hiện trong thực tế, và liệu chúng thực sự giúp bạn an toàn hơn trên web hay không.
*Sửa lỗi ngày 29 tháng 1, 10:30pm: Bản tin ban đầu cho biết TrickURI sử dụng học máy để phân tích các mẫu URL và kiểm tra cảnh báo cho các URL đáng ngờ. Đã được cập nhật để phản ánh rằng công cụ thay vào đó đánh giá xem phần mềm có hiển thị URL đúng và nhất quán không.
Các Bài viết Tuyệt vời khác từ Mytour
- Cuộc hành trình tuyệt vời của một người đàn ông tìm dữ liệu của mình từ Cambridge Analytica
- Những rủi ro của việc hợp nhất tất cả ứng dụng trò chuyện của Facebook
- Kết thúc đình công của chính phủ không giải quyết được tình trạng trễ chuyến bay
- Drone ném bom chất độc để chiến đấu chống xâm nhập của chuột
- Điện thoại đã trở nên nhàm chán chưa? Chúng sẽ trở nên kỳ lạ
- 👀 Bạn đang tìm kiếm các thiết bị công nghệ mới nhất? Xem qua lựa chọn, hướng dẫn mua sắm và các ưu đãi tốt nhất quanh năm của chúng tôi
- 📩 Nhận thêm thông tin bên trong với bản tin hàng tuần của chúng tôi Backchannel
